Les rançongiciels ne relèvent plus uniquement de la sécurité informatique. Selon Kaspersky et VDC Research, les entreprises industrielles auraient évité plus de 18 milliards de dollars de pertes potentielles sur les neuf premiers mois de 2025, uniquement pour le coût direct de l’inactivité des salariés pendant les arrêts de production. La menace se mesure désormais en jours d’arrêt, en pertes opérationnelles et en fragilisation des chaînes d’approvisionnement.
Le rapport publié par Kaspersky à l’occasion de la Journée internationale contre les rançongiciels, élaboré en collaboration avec le cabinet américain VDC Research, met en chiffres une réalité que les responsables industriels redoutent depuis plusieurs années. Les attaques ne se contente pas d’encrypter des données ou d’extorquer une rançon. Elles stoppent les lignes, désorganisent la production, imposent des coûts immédiats et entraînent des répercussions économiques durables. Les estimations se basent sur des données issues du Kaspersky Security Network, sur la volumétrie d’entreprises manufacturières par région, sur le nombre moyen d’employés, sur la durée d’arrêt moyenne et sur la rémunération horaire.
Entre janvier et septembre 2025, les détections de tentatives de rançongiciel dans l’industrie atteignaient 7 % au Moyen-Orient, 6,5 % en Amérique Latine, 6,3 % en Asie Pacifique, 5,8 % en Afrique, 5,2 % dans la CEI, et 3,8 % en Europe. Toutes ces attaques ont été bloquées dans l’écosystème Kaspersky, mais l’exercice de simulation financière montre ce qu’auraient coûté des incidents aboutis. Sur la base d’une durée moyenne d’attaque de 13 jours documentée dans le rapport Kaspersky Incident Response, les pertes directes liées à l’inactivité des salariés atteindraient 11,5 milliards de dollars en Asie Pacifique, 4,4 milliards en Europe, 711 millions en Amérique Latine, 685 millions au Moyen-Orient, 507 millions dans la CEI et 446 millions en Afrique. Les pertes réelles seraient bien supérieures en intégrant la rupture logistique, la remise en route et l’atteinte réputationnelle.
Arrêts moyens de 13 jours et chaînes industrielles sous tension
Au-delà des chiffres, l’un des bénéfices du rapport tient dans la mise en perspective opérationnelle de ces incidents. Treize jours d’arrêt moyen signifient treize jours où la main-d’œuvre reste inactive, où la production s’interrompt, où la relation client se dégrade et où la chaîne d’approvisionnement se dérègle. Jared Weiner, directeur de recherche Automatisation industrielle et Capteurs chez VDC Research, rappelle que les environnements industriels deviennent plus complexes, plus interconnectés et plus difficiles à protéger, alors même que les ressources humaines spécialisées restent limitées. L’échec en cybersécurité industrielle entraîne donc une double peine, financière et réputationnelle.
L’analyse souligne également que le rançongiciel cible désormais l’industrie comme une infrastructure économique critique, et non comme un simple environnement informatique supplémentaire. Selon Dmitry Galov, directeur du centre de recherche pour la Russie et la CEI au sein du GReAT de Kaspersky, aucune région n’est épargnée et les entreprises de taille intermédiaire n’échappent plus aux cybercriminels. Leur dépendance à des chaînes d’approvisionnement sensibles et leur capacité d’investissement souvent limitée en matière de cybersécurité les rendent particulièrement exposées. Dans ce contexte, la sécurité OT et IIoT ne relève plus d’une optimisation technique mais d’une exigence de continuité industrielle.
Le paysage mondial d’une menace hétérogène
Les chiffres régionaux mis en lumière par Kaspersky montrent que la distribution des détections ne correspond pas nécessairement à un niveau de maturité technologique mais plutôt à une combinaison de facteurs. Les investissements en protection OT restent inégaux, l’exposition aux chaînes logistiques globalisées varie fortement et la structuration des politiques de cybersécurité industrielle diffère d’une zone à l’autre. L’Europe affiche un taux plus faible de détection mais une densité industrielle élevée, ce qui rend les risques systémiques particulièrement sensibles. À l’inverse, certaines régions très exposées aux attaques disposent encore de politiques de protection fragmentées.
Le secteur manufacturier évolue par ailleurs dans un environnement de menaces industrialisé. Le MITRE ATT&CK for ICS documente depuis plusieurs années des modes opératoires spécifiques aux environnements OT, confirmant que les attaquants connaissent les processus industriels, les automates, les protocoles et les dépendances critiques. Les vagues d’attaques passées contre des acteurs industriels majeurs ont démontré la capacité d’un incident numérique à devenir un choc économique. Le rapport Kaspersky x VDC Research fournit ici un complément utile, en montrant comment ces risques se traduisent en coûts concrets.
Une pression croissante sur la gouvernance industrielle
La régulation évolue pour intégrer explicitement la cybersécurité industrielle dans les obligations de résilience. En Europe, la directive NIS2 renforce les exigences pour les secteurs essentiels, dont l’industrie, avec des obligations de gestion du risque, de gouvernance, de détection et de réponse. L’ENISA multiplie les travaux dédiés à la protection des environnements industriels et des infrastructures critiques. En France, l’ANSSI insiste régulièrement sur la nécessité d’une gouvernance unifiée IT et OT, de segmentation, de supervision technique et d’un niveau de préparation renforcé face aux scénarios d’arrêt de production. À l’échelle internationale, les référentiels comme IEC 62443 structurent progressivement les pratiques, en transformant la cybersécurité OT en exigence de conformité et de compétitivité.
Cette évolution crée une dynamique nouvelle. La cybersécurité industrielle n’est plus seulement une protection contre des incidents. Elle devient une condition d’accès au marché, un élément de confiance pour les partenaires et un facteur de stabilité pour les chaînes de valeur. Les industriels doivent donc structurer des stratégies qui combinent protection technique, capacités de réponse aux incidents, formation des équipes, partenariat avec des acteurs éprouvés et alignement avec les cadres réglementaires. Les propos de Jared Weiner et Dmitry Galov convergent sur ce point. La complexité des environnements de production impose des politiques de cybersécurité solides, continues et gouvernées au niveau directionnel.
De la menace à l’impact économique mesurable
L’intérêt majeur du travail présenté par Kaspersky et VDC Research consiste à convertir une menace longtemps perçue comme abstraite en impact économique mesurable. Les chiffres régionaux, la durée moyenne des incidents et la méthodologie explicitée permettent d’ancrer la discussion dans une réalité compréhensible par les directions générales, financières et industrielles. Ce n’est plus une question de probabilité technique mais une question de risque économique tangible.
Pour les entreprises industrielles, l’enjeu consiste à consolider la continuité d’activité, à protéger la capacité de production et à préserver la fiabilité logistique dans un environnement où les cyberattaques se comportent comme des chocs industriels. L’alignement entre exigences réglementaires, cadres de bonnes pratiques et capacités opérationnelles devient alors une condition structurante. Dans cette équation, la cybersécurité n’est pas un coût subi mais une garantie de résilience, de compétitivité et de confiance dans un système industriel mondial sous tension permanente.
